Уязвимость BDU:2022-02206

Дата: 07.06.2018. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-02206.

Наименование уязвимости: Уязвимость реализации протокола Hypertext Transfer Protocol (HTTP/1.1) контейнера сервлетов Eclipse Jetty, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling).

Описание уязвимости: Уязвимость реализации протокола Hypertext Transfer Protocol (HTTP/1.1) контейнера сервлетов Eclipse Jetty связана с недостатками обработки заголовков Transfer-Encoding и Content-Length. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Прикладное ПО информационных систем Oracle Corp. Retail Xstore Payment 3.3 | Прикладное ПО информационных систем Oracle Corp. Enterprise Manager Base Platform 13.2.0 | Прикладное ПО информационных систем Oracle Corp. Enterprise Manager Base Platform 13.3.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Hospitality Guest Access 4.2.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Hospitality Guest Access 4.2.1 | Сетевое средство, Сетевое программное средство Eclipse Foundation Jetty от 9.3.0 до 9.3.24.v20180605 | Сетевое средство, Сетевое программное средство Eclipse Foundation Jetty от 9.4.0 до 9.4.11.v20180605 | Сетевое средство, Сетевое программное средство Oracle Corp. REST Data Services 11.2.0.4 | Сетевое средство, Сетевое программное средство Oracle Corp. REST Data Services 12.1.0.2 | Сетевое средство, Сетевое программное средство Oracle Corp. REST Data Services 12.2.0.1 | Сетевое средство, Сетевое программное средство Oracle Corp. REST Data Services 18c | Прикладное ПО информационных систем IBM Corp. Cognos Analytics 11.0 | Прикладное ПО информационных систем IBM Corp. Cognos Analytics 11.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Cloud Native Core Policy 1.5.0 | Сетевое средство, Сетевое программное средство Eclipse Foundation Jetty до 9.2.25.v20180606 | Прикладное ПО информационных систем Apache Software Foundation Apache BookKeeper 4.9.2 | Сетевое средство Hewlett-Packard Development Company L.P. HP Device Manager до 8.6.2-00 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Xstore Point of Service 7.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Xstore Point of Service 15.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Xstore Point of Service 16.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Xstore Point of Service 17.0 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 |
Дата выявления: 07.06.2018.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
Для Eclipse Jetty:
https://www.eclipse.org/jetty/security_reports.php

Для Debian:
https://www.debian.org/security/2018/dsa-4278

Для Oracle:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Для Apache:
https://lists.apache.org/thread/gg49mcoofz9w3t9rbm7w61ntqg2xqr3l

Для продуктов HP:
https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbst03953en_us

Для продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-cognos-analytics-has-addressed-multiple-vulnerabilities-4/
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2017-7658.

Тип ошибки CWE: CWE-444
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.securityfocus.com/bid/106566
http://www.securitytracker.com/id/1041194
https://bugs.eclipse.org/bugs/show_bug.cgi?id=535669
https://lists.apache.org/thread.html/053d9ce4d579b02203db18545fee5e33f35f2932885459b74d1e4272@%3Cissues.activemq.apache.org%3E
https://lists.apache.org/thread.html/708d94141126eac03011144a971a6411fcac16d9c248d1d535a39451@%3Csolr-user.lucene.apache.org%3E
https://lists.apache.org/thread.html/9317fd092b257a0815434b116a8af8daea6e920b6673f4fd5583d5fe@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/r1b103833cb5bc8466e24ff0ecc5e75b45a705334ab6a444e64e840a0@%3Cissues.bookkeeper.apache.org%3E
https://lists.apache.org/thread.html/r41af10c4adec8d34a969abeb07fd0d6ad0c86768b751464f1cdd23e8@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/r9159c9e7ec9eac1613da2dbaddbc15691a13d4dbb2c8be974f42e6ae@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/ra6f956ed4ec2855583b2d0c8b4802b450f593d37b77509b48cd5d574@%3Ccommits.druid.apache.org%3E
https://security.netapp.com/advisory/ntap-20181014-0001/
https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbst03953en_us
https://www.debian.org/security/2018/dsa-4278
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
https://github.com/advisories/GHSA-6x9x-8qw9-9pp6
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-cognos-analytics-has-addressed-multiple-vulnerabilities-4/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.